Utilizando o INURLBR Scanner
0 gostou808 visualizações
O documento descreve a ferramenta INURLBR SCANNER, que automatiza buscas em motores de busca para analisar resultados via requisições HTTP e explorar possíveis vulnerabilidades em servidores. Ele explica como preparar o ambiente com TOR e ProxyChains para ocultar o IP, e fornece exemplos de uso da ferramenta para encontrar arquivos PDF confidenciais e dados de email em sites governamentais.
Utilizando o INURLBR Scanner
- 1. INURLBR SCANNERINURLBR SCANNER Explorando vulnerabilidades em servidores utilizando sites de busca.Explorando vulnerabilidades em servidores utilizando sites de busca. Ricardo Vicentini Maganhati – O AnalistaRicardo Vicentini Maganhati – O Analista falecom@oanalista.com.brfalecom@oanalista.com.br
- 2. O que é o INURLBR SCANNER?O que é o INURLBR SCANNER? ● Ferramenta que automatiza as suas buscas utilizando os motores de busca, permitindo analisar os resultados via requisições GET/POST. ● Podem ser efetuadas buscas por determinadas URLs, tipos de arquivos e o seu conteúdo, checagem de portas, exploração de falhas, e muito mais.
- 3. O que veremos?O que veremos? ● A preparação do “terreno”antes de executar qualquer ação; ● Exemplos de uso da ferramenta.
- 4. Preparando o terrenoPreparando o terreno ● TOR (Navegador TOR) https://www.torproject.org/ O Projeto TOR (The Onion Router) é uma rede anônima que possui criptografia visando a privacidade do usuário. ● ProxyChains http://sourceforge.net/projects/proxychains/ É um programa que faz com que todos os comandos digitados após ele sejam executados através de um servidor proxy ou vários, ocultando o seu IP de origem.
- 5. Utilizando o INURL SCANNERUtilizando o INURL SCANNER ● Exemplo 1 $ proxychains ./inurlbr.php --dork 'site:.gov.uk intext: (confidential) ext:pdf' -s exemplo1.txt -q 1,6 -t 2 --exploit-get '?' -a 'confidential' ● Exemplo 2 $ proxychains ./inurlbr.php --dork 'site:.gov.br email (gmail|yahoo|hotmail) ext:txt' -s exemplo2.txt -m
- 6. Considerações finaisConsiderações finais Nenhuma invasão foi feita. Utilizamos somente as informações indexadas pelos motores de busca, analisando cada resultado obtido. Obviamente, boa parte destes resultados não seriam vistos, caso os administradores dos sites tomassem as devidas precauções com relação ao quesito SEGURANÇA. MAS, como deve ter notado, o Google e outros sites de busca, são grandes aliados na fase de coleta de informações. Utilize esta ferramenta com seriedade e inteligência, senão homens de preto baterão em sua porta.
- 7. Obrigado!Obrigado! www.oanalista.com.br Autor: Ricardo Vicentini Maganhati E-mail: ricardo@oanalista.com.br